data-center-control-it-specialists-network-monitoring

Les centres d’opérations de sécurité sont fondamentaux pour la cybersécurité – voici comment en construire un

Lucas Morel

Pour créer un SOC efficace, les CISO doivent équilibrer les personnes, la technologie et les opérations et décider entre investir des services internes ou gérés.

La détection et la réponse des incidents sont des responsabilités fondamentales pour tous les défenseurs de la cybersécurité. Dans la plupart des organisations de taille moyenne et importantes – et même certaines plus petites, selon leur profil de risque – ces activités critiques sont gérées au sein d’un centre d’opérations de sécurité (SOC), un centre central pour détecter et répondre aux menaces en temps réel.

Trouver le bon équilibre de ces composants SOC est difficile pour la plupart des organisations. L’efficacité d’un SOC dépend de plusieurs facteurs, notamment si une organisation investit dans des solutions à haut capex nécessitant des investissements technologiques importants mais des coûts de personnel plus bas ou opte pour des solutions open-source, ce qui réduit les dépenses initiales mais exige une main-d’œuvre plus grande et plus qualifiée pour fonctionner efficacement.

Les experts conseillent qu’avant que les CISO ne décident de construire ou de maintenir leur propre SOC, ils devraient examiner les deux principales options de SOC: l’achat de services de SOC gérés offerts par les fournisseurs, une option plus facile mais potentiellement moins flexible et plus coûteuse au fil du temps, ou pour construire leur propre SOC, une entreprise plus complexe qui nécessite des investissements technologiques stratégiques, mais peut finalement conduire à une solution plus efficace et plus efficace.

Options pour créer un SOC

Les CISO peuvent aborder la construction d’un SOC de plusieurs manières: l’embauche de fournisseurs externes qui gèrent leurs besoins de SOC, l’achat de toutes ou des solutions technologiques nécessaires au SoC, de l’embauche du personnel de sécurité pour gérer les opérations, ou une combinaison de toutes ces choses.

« Toutes ces choses se traduisent par le temps, l’argent ou les deux », a déclaré Neil « Grifter » Wyler, vice-président des services défensifs chez Coalfire, lors d’une conférence lors de la conférence SHMOOCON de cette année.

«Vous pouvez sortir et acheter (technologie), a-t-il dit. «Ou vous pouvez vous retourner, et il y a probablement une solution de source ouverte solide pour chaque (technologie) si vous êtes une boutique très capex.

« Si vous avez des dépenses initiales, vous pouvez dire, d’accord, nous allons sortir et acheter cette solution de fournisseur », a déclaré Wyler. «Vous avez un cou à étouffer. Il y a un soutien qui l’accompagne. Mais si vous avez un tas de corps, votre Opex, vous avez l’argent pour y jeter, mettre les choses en marche, alors faire une solution open source pourrait être une meilleure avenue pour vous. « 

Le problème avec une solution externalisée est que l’organisation est à la merci des demandes du fournisseur. « Le problème est que si ce fournisseur décide quelque part sur la route, ils vont faire une augmentation de 30% du coût de cette plate-forme, soudain, le RIP et le remplacement deviennent vraiment, vraiment douloureux. »

«Comprenez ce que vous essayez de protéger et de vous défendre. Mettez l’infrastructure en place pour protéger et défendre contre cela, c’est là que vous commencez à comprendre pourquoi une organisation a besoin d’un cœur opérationnel pour protéger sa marque et sa propriété intellectuelle. Ensuite, vous avez besoin d’une équipe axée sur l’absorption de la télémétrie et de la visibilité qui sort de cette infrastructure. »

Déchange des outils et technologies SOC

Au cours de leur discours de Shmoocon, Wyler et son collègue James «Pope» Pope, directeur principal de la gouvernance, des risques et de la conformité à Corelight, ont offert une liste des technologies fondamentales que les CISO devraient considérer lors de la construction ou de l’externalisation d’un SOC.

Ces outils essentiels comprennent:

EDR (détection et réponse de point final)

EDR est une solution de sécurité qui surveille et analyse continuellement les activités de point final pour détecter, étudier et répondre aux cyber-menaces en temps réel. « C’est l’outil qui se trouve sur les points de terminaison pour tous vos utilisateurs et tous les appareils qui ne sont même pas des utilisateurs », a déclaré Pope. «Tu veux ça. Vous en avez besoin pour des détections et, espérons-le, des prévention. Et puis lorsque vous n’empêchez pas quelque chose, comme quelque chose dépasse cet EDR, vous voulez pouvoir réduire ce temps de réponse en ayant ce que j’aime appeler une télémétrie avancée sur la surveillance. « 

(Voir: Guide de l’acheteur EDR: Comment choisir la meilleure solution de détection et de réponse des points de terminaison)

SIEM (Informations sur la sécurité et gestion des événements)

Un système SIEM recueille, analyse et corrèle les journaux de sécurité et les données d’événements provenant de diverses sources pour détecter les anomalies, générer des alertes et soutenir la conformité et les enquêtes médico-légales. Selon le fournisseur EDR et ce pour quoi l’organisation paie, il pourrait ne pas avoir accès à l’ensemble complet des journaux EDR dont il a besoin. « Vous devez soit payer pour les étendre ou les envoyer quelque part », a déclaré Pope.

(Voir: Guide de l’acheteur SIEM: Top 15 des informations sur la sécurité et les outils de gestion des événements – et comment choisir)

NDR (détection et réponse du réseau)

Un NDR est un outil de sécurité qui surveille le trafic réseau pour identifier les comportements suspects, détecter les menaces et permettre une réponse rapide aux cyberattaques potentielles. « Je pense que cela est plus de surveillance vidéo pour votre réseau », a déclaré Wyler. «Regarder les paquets passer et voir ce qui se passe dans cet environnement est comme la surveillance vidéo. Cela peut être cher, mais cela en vaut la peine. »

SOAR (Orchestration de sécurité, automatisation et réponse)

Soar est une plate-forme qui intègre les outils de sécurité, automatise les workflows et rationalise les processus de réponse aux incidents pour améliorer l’efficacité et réduire les temps de réponse. « Vous pourriez dire que la partie automatisation d’orchestration ne appartient pas à un SOC », a déclaré Pope. «Cela pourrait être une tendance distincte; Un groupe séparé de votre équipe d’opérations construit cela. » Mais, il a ajouté: «Vous avez besoin de quelque chose qui a un livre de jeu que vous exécutez à chaque fois dans cet ordre. Ce ne devrait pas être un manuel différent à chaque fois. Et puis vous voulez créer des étapes d’automatisation à travers ces manuels. »

(Voir: Guide de l’acheteur de Soar: 11 produits d’orchestration de sécurité, d’automatisation et de réponse – et comment choisir)

Tip (menace plate-forme d’intelligence)

TIP est un système qui agrége, analyse et priorise les données de renseignement sur les menaces pour aider les équipes de sécurité à identifier, évaluer et atténuer les cyber-menaces émergentes. « Les renseignements sur les menaces devraient être le fondement de l’ensemble de votre programme de sécurité », a déclaré Pope.

«Avoir une plate-forme de renseignement sur les menaces signifie prendre tous les flux ridicules qui sont là-bas, que ce soit des fonctionnalités, celles que vous payez, les écureuils secrètes (et) les alimenter en quelque chose qui vous permet de le centraliser et de dire, d’accord, de quoi nous soucions-nous ici.»

Il a ajouté: «Ne sortez pas seulement et dépensez de l’argent et soyez comme Pew, Pew, Pew, Pew, regardez à quel point je suis cool. Je suis tellement élite. Dépenser l’argent dans les endroits qui disent: «C’est qui va venir pour moi.» »

UEBA (Analyse des comportements utilisateur et entités)

L’UEBA est une solution de sécurité qui utilise l’apprentissage automatique et l’analyse pour détecter un comportement anormal d’utilisateur ou d’entité qui peut indiquer des menaces d’initiés ou des comptes compromis. Une fois que les fichiers sont sortis de la pointe, ils sont expédiés pour analyser les comportements des utilisateurs et des entités connexes, a déclaré Wyler.

Identité (vérifier l’accès aux ressources)

Les outils de gestion de l’identité et d’accès (IAM) authentifient et autorisent les utilisateurs, garantissant que seuls les utilisateurs légitimes peuvent accéder aux systèmes et données sensibles.

(Voir: Guide de l’acheteur IAM: 9 outils de gestion de l’identité et de l’accès)

Défis du personnel dans la mise en place d’un SOC

Dans tout SOC, qu’ils soient construits en interne ou livrés par un fournisseur extérieur, il est essentiel d’avoir du personnel de haut calibre qui surveille et suivi les rapports des technologies de sécurité. « Si vous regardez les choses qui existent depuis un certain temps, vous avez un chiffre d’affaires », explique Paterra de Splunk. «Si vous avez un bon analyste, ils pourraient aller ailleurs demain pour une meilleure offre d’emploi,»

De plus, «l’efficacité de l’analyste n’est qu’un problème très clair», explique Paterra. «Et puis il y a juste le volume de travail. Si vous prenez un flot de masse d’alertes, il frappe les analystes qui ne sont pas efficaces », ce qui, selon les experts, peut finalement provoquer un traumatisme et un épuisement professionnel.

Pour les très grands SOC, il aide à différencier les couches de personnel en fonction de leur niveau de compétence. Schiappa dit que le SOC d’Artic Wolf, que de nombreuses organisations utilisent sur une base externalisée, s’appuie sur 1 500 membres du personnel de sécurité qui contribuent ou exploitent le SOC. «Nous ingérons quotidiennement un et demi d’observations de sécurité», explique Schippa. «Nous avons plusieurs niveaux de capacités là-dedans», dit-il, des travailleurs de la sécurité naissants de Tier One jusqu’à des travailleurs de sécurité hautement qualifiés du niveau trois.

D’autres facteurs devraient considérer lors de la construction d’un SOC

Lors de la construction ou du maintien d’un SOC interne, les experts signalent d’autres facteurs que les CISO devraient garder à l’esprit. Une question des CISO devrait se poser est: «Avez-vous équipé vos analystes de faire leur travail efficacement», explique Paterra. «Si vous devez énumérer, allez vous asseoir et regardez ce qu’ils font dans une perspective de jour et de jour. S’ils ont 50 onglets de navigateur, vous pouvez très facilement dire que vos analystes ne sont pas en mesure de faire leur travail efficacement. »

Le pape recommande que les organisations passent plus de temps dans l’ingénierie de détection. «C’est à ce moment que vous obtenez ces alertes, et vous dites que ce sont de faux positifs, ou l’outil n’aurait pas dû l’envoyer. Vous (devriez régler) ces alertes afin que vous ne répétez pas la même chose demain, le lendemain, le lendemain », explique Pope.

De plus, l’IA modifie rapidement le visage des opérations de sécurité, ce qui peut radicalement améliorer l’ingénierie de la détection. «Il y a actuellement une valeur réelle dans l’IA sur la mise en œuvre des analystes SOC», explique Pope. «C’est ici aujourd’hui. Ce sera là à l’avenir. Peut-être que cela ne résout pas tout, mais cela rend les analystes plus rapidement et meilleurs. »

Voir aussi:

  • Modernisation du SOC: 8 considérations clés
  • Comment évaluer les fournisseurs de Soc-as-a-Service

Lucas Morel

Lucas Morel

Passionné par les zones d’ombre et les sujets tabous, je m’attache à explorer ce que d’autres préfèrent ignorer. Diplômé en journalisme d’investigation, j’ai rejoint Illicit Trade FR pour dévoiler les dessous des mondes interdits et controversés. Mon credo : informer sans juger, avec rigueur et audace.

Articles associés

1887170134 attack surface programming abstract
Des packages NPM malveillants ont été trouvés pour créer une porte dérobée dans le code légitime
Les développeurs innovent le casino de New Virginia
Les développeurs innovent le casino de New Virginia
Trotz Hinweise: Oracle Demetier Cyberattacke
Trotz Hinweise: Oracle Demetier Cyberattacke